Příkaz děkana FSv_PD_2023_05_V01 k Zabezpečení kybernetické bezpečnosti ukládá blokovat veškerý příchozí provoz z datových sítí mimo FSv.
Přístup na všechny fakultní IP adresy by tak měl být pro okolní svět uzavřen.
Pro provoz služeb pro veřejnost (například weby kateder pro studenty, nebo jiné projektové weby) lze zažádat o výjimku.
Garantem zajištění příkazu děkana je VIC FSv. Ten stanovil následující pravidla a možnosti.
Každá katedra (obecně pracoviště) má přidělený rozsah veřejných IP adres.
Ty slouží pro potřeby kateder uvnitř fakultní sítě (například kancelářské PC), neslouží pro poskytování služeb veřejnosti.
IP rozsah je pro přístup blokovaný fakultním firewallem a pokud se na zařízení potřebuje zaměstnanec připojit z lokality mimo fakultu,
použije VPN.
Pokud katedra provozuje veřejné serverové služby (například web), které mají být dostupné z lokalit mimo FSv,
bude takový server zaregistrován do vybraného IP rozsahu (katedrové servery).
Následně bude připojení na server povoleno na fakultním firewallu. Viz dále.
Bezpečné / nebezpečné adresní zóny
VIC FSv definuje na fakultním firewallu čtyři adresní zóny pro přístup ke službám uvnitř fakulty:
FSv - IP adresy Fakulty stavební (včetně fakultní VPN) + IP adresy ČVUT VPN.
Tato zóna je nejbezpečnější a je automaticky výchozí.
ČVUT - IP adresy celého ČVUT.
Zóna je stále považována za relativně bezpečnou.
ČR + SR - tato adresní zóna je založena na GeoIP databázi.
Ta páruje adresní rozsahy se státy.
Zóna už není bezpečná, ale je stále bezpečnější, než celý svět.
Celý svět - vše ostatní.
Zóna není bezpečná.
Přístup ke službám z jiné zóny než FSv vyžaduje schválenou výjimku.
Povolené / blokované služby
Fakultní firewall umožňuje filtrovat velký objem dat, blokovat masivní síťové útoky, ale jeho konfigurace není tak komfortní, jako například na desktopu.
VIC FSv definuje následující služby. Ty lze na firewallu otevřít pro výše definované adresní zóny:
PING - Požadavek na ICMP odezvu, ICMP typ 8, kód 0.
SSH - SSH protokol, TCP port 22.
RDP - Microsoft Remote Desktop Protocol, TCP a UDP port 3389.
HTTP - Nešifrovaný web, TCP port 80.
HTTPS - Šifrovaný web, TCP port 443.
(ostatní) - Vše mimo výše uvedeného. Naslouchá Vaše služba například na TCP portu 8765? Potom spadá sem.
Best practices
Zmiňovaný příkaz děkana výslovně uvádí, že vzdálený přístup na zařízení ze sítě mimo FSv je možný pouze z VPN.
SSH a RDP služby by tak měly být dostupné pouze z adresní zóny FSv.
Obecně z pohledu bezpečnosti by měly být jakékoliv služby pro management serveru samotného dostupné pouze z FSv.
Administrátor může použít VPN, aby se k managementu serveru dostal.
Fakultní firewall nenahrazuje lokální firewall.
Omezte přístup na služby, zejména na ty pro management, pouze pro vybrané IP adresy.
Používejte automatické blokace pomocí fail2ban a podobných.
Mějte pod dohledem uživatele, které na svůj server pustíte.
Používejte audit logy.
Za síťový provoz ze zařízení, ať už ho generoval kdokoliv, nesete odpovědnost Vy.
Žádost o výjimku
Odchozí spojení z Vašeho serveru do světa není nijak omezeno.
Stejně tak příchozí spojení uvnitř fakulty není nijak omezeno.
Fakultní firewall filtruje provoz z lokalit mimo adresní prostor FSv.
Žádáte tedy o výjimku pro povolení přístupu ke službám na Vašem serveru z lokalit mimo FSv.
Pokud žádáte o výjimku na služby SSH, nebo RDP, uveďte v HelpDesk konkrétní důvod, proč na tyto služby nemůžete přistupovat pouze přes VPN.
Konfigurátor níže Vám pomůže nadefinovat, pro jaké adresní zóny chcete služby Vašeho serveru otevřít na fakultním firewallu.
Služba
Zvolte požadovanou zónu přístupu
Definice
PING
Definice zón pro služby
-----------------------
PING - FSv
SSH - FSv
RDP - FSv
HTTP - FSv
HTTPS - FSv
(ostatní) - FSv
SSH
RDP
HTTP
HTTPS
(ostatní)
TIP: Pokud používáte službu Let's Encrypt, služba HTTP musí být otevřena pro celý svět.
